существует токен авторизационный и существует csrf-токен. csrf-токен посылается на сервер не в куках, а например в POST-параметрах.
вообще это довольно непростой способ защиты. не проще ли было бы использовать авторизационный токен и для авторизации, и для csrf-защиты?
то есть сервер знает список разрешённых origin (или referer) и значение авторизационного токена. таким образом когда сервер получает значения отправленной формы, он должен проверить наличие токена в куках и origin (или referer). если всё это корректно, то форма обрабатывается
но так мало кто делает. причина только в том, что незначительное количество пользователей не имеет origin или в чём-то ещё? помогите пожалуйста разобраться
